Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DynamoDBのリソースポリシーを試してみた

Makky12
March 29, 2024
Technology
1
130

 DynamoDBのリソースポリシーを試してみた

2024/03/29(金) 21:00~22:00に実施された「#24 JAWS-UG主催 週刊AWSキャッチアップ(2024/03/18週)」における私のLT「DynamoDBのリソースポリシーを試してみた」の資料になります。 #jawsug

Makky12

March 29, 2024
Tweet

More Decks by Makky12

See All by Makky12
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
130
AWS CodePipelineでコンテナアプリをデプロイした際に、古いイメージを自動で削除する
smt7174
1
140
IaC運用を楽にするためにCDK Pipelinesを導入したけど、思い通りにいかなかった話
smt7174
1
140
これからJAWS-UG富山でワークショップを開催するときのアラカルト - 業務実例を添えて -
smt7174
3
93
CDK Pipelinesをざっくり理解する
smt7174
2
500
(CDK Pipelinesの)「self-mutate」って何?
smt7174
1
110
What is “Lambdaless” Serverless
smt7174
0
490
Amazon QのちょっとしたTips
smt7174
2
78
「Lambdaレス」なサーバーレスについての考察
smt7174
3
1.9k

Other Decks in Technology

See All in Technology
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
220
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
770
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
230
Application Development WG Intro at AppDeveloperCon
salaboy
0
200
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
120
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
120
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
200
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
390
Engineer Career Talk
lycorp_recruit_jp
0
190
FlutterアプリにおけるSLI/SLOを用いたユーザー体験の可視化と計測基盤構築
ostk0069
0
120
LINEヤフーにおけるPrerender技術の導入とその効果
narirou
1
130

Featured

See All Featured
Embracing the Ebb and Flow
colly
84
4.5k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Why Our Code Smells
bkeepers
PRO
334
57k
Scaling GitHub
holman
458
140k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Designing for humans not robots
tammielis
250
25k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Testing 201, or: Great Expectations
jmmastey
38
7.1k

Transcript

  1. DynamoDBのリソースポリシーを試してみた Masaki Suzuki (DeNA Co., Ltd.) 2024/03/29 週刊AWSキャッチアップ (2024/03/18週)

  2. アジェンダ 1. 自己紹介&参考資料 2. DynamoDBのリソースポリシーについて 3. 試してみた 4. IaC対応について 5.

    まとめ 2

  3. 自己紹介 ◼ 名前: 鈴木 正樹 (Masaki Suzuki) ◼ 会社: 株式会社DeNA

    エンターテイメント開発事業本部 ◼ 職業: クラウドアーキテクト(AWS全般、特にサーバーレスバックエンド・IaC) ◼ 技術・その他: • AWS(特にLambda & AWS CDK), その他サーバーレスバックエンド全般, CI/CD etc. • TypeScript, JavaScript(Node.js), Jestなど • JAWS-UG CDK支部, JAWS-UG 名古屋支部, AWS Community Builder (Serverless, 2023~) ◼ SNS: • @makky12 (SUZUKI Masaki@クラウドエンジニア) • @makky12.bsky.social • https://github.com/smt7174/ • http://makky12.hatenablog.com/ 3

  4. 参考資料 ◼ Using resource-based policies for DynamoDB • AWS公式ドキュメント ◼

    Amazon DynamoDBがリソースベースポリシーをサポートしました • クラスメソッドさんのブログ(より詳細な解説がされています) ◼ ポリシーの評価論理 • AWS公式による、IAMポリシーでのアクセス制御の解説 • めちゃくちゃ役に立つドキュメントなので、ぜひ一読をお勧めします • 特に「アカウント内でのリクエストの許可または拒否の決定」のフローチャート ◼ 【AWS】DynamoDBにリソースポリシーが追加されたので試してみた • 私のブログです。(主にAWS, AWS CDK, JavaScriptについて書いてます) 4

  5. DynamoDBのリソースポリシーについて

  6. DynamoDBがリソースポリシーに対応しました 6 ◼ DynamoDBでもリソースポリシーでのアクセス制御が可能に ◼ S3, API Gatewayなどと同様の機能 ◼ DynamoDBをよりセキュアにできる(使い方次第で)

    ここに 図 や テキスト を挿入します

  7. 試してみた

  8. 実行内容 8 • LambdaからDynamoDBテーブルのデータ取得を実行 • Lambdaは以下2パターンを試す • アクセス権限なし(IAMロールに何もポリシーをアタッチしない) • アクセス権限あり(IAMロールにAmazonDynamoDBFullAccessポリシーをアタッチ)

    上記の際に、DynamoDBリソースポリシーの有無による挙動を確認

  9. 付与するポリシー 9 • リソースポリシーに上記ポリシーを付与 • EffectにAllow(許可)かDeny(拒否)を設定 • PrincipalのARNは「IAMロール」のARN(LambdaのARNではない)

  10. 1. アクセス権限がない場合 10 ◼ リソースポリシーを設定しない場合、 AccessDeniedExceptionが発生 ◼ リソースポリシーにEffect:Allowを設定すると、全データを取得可能 ◼ リソースポリシーが効いている

    ◼ Lambdaロールに明示的Denyをアタッチすると、リソースポリシーに関係 なくAccessDeniedExceptionが発生するので注意 ここに 図 や テキスト を挿入します

  11. 2. アクセス権限がある場合 11 ◼ リソースポリシーが未設定の場合、 全データを取得可能 ◼ リソースポリシーにEffect:Denyを設定すると、 AccessDeniedException が発生

    ◼ この場合もリソースポリシーが効いている ここに 図 や テキスト を挿入します

  12. IaC対応について

  13. IaC対応について(CloudFormation/AWS CDK) 13 • CloudFormationテンプレートは対応済(ResourcePolicyプロパティ) • 下記URL参照(※1) • 表示言語を「English」にしないと表示されないので注意(「日本語」ではダメ) 日本語対応しました!

    • AWS CDKは未対応(L1/L2共に) • L1のaddPropertyOverrideを使ってもダメだった(Cannot read properties of undefined が発生) ※1: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws- resource-dynamodb-table.html

  14. まとめ

  15. まとめ ◼ DynamoDBもリソースポリシーアクセス制御が可能になった ◼ 使い勝手はS3やAPI Gatewayのリソースポリシーと全く同じ ◼ AWS CDKの対応はしばし待とう or

    contributeしよう! 15

  16. DeNA ENGINEERING DeNAのエンジニアの技術・文化・チーム等を伝えるポータルサイトです。 様々な技術発信や、カルチャーの紹介をしています。

  17. ご清聴ありがとうございました 以上です